Adatok gyűjtése a számítási feladatokból a Log Analytics-ügynökkel

A Log Analytics-ügynök és a munkaterületek konfigurálása

Amikor a Log Analytics-ügynök be van kapcsolva, Felhőhöz készült Defender üzembe helyezi az ügynököt az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. A támogatott platformok listáját a támogatott platformok Felhőhöz készült Microsoft Defender című témakörben találja.

A Log Analytics-ügynökkel való integráció konfigurálása:

1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

2. Select the relevant subscription.

3. A Defender-csomagok Figyelési lefedettség oszlopában válassza a Gépház.

4. A konfigurációs beállítások panelen adja meg a használni kívánt munkaterületet.

   

   • Csatlakozás Azure-beli virtuális gépeket a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületekhez – Felhőhöz készült Defender létrehoz egy új erőforráscsoportot és egy alapértelmezett munkaterületet ugyanabban a földrajzi helyen, és csatlakoztatja az ügynököt a munkaterülethez. Ha egy előfizetés több földrajzi helyről származó virtuális gépeket tartalmaz, Felhőhöz készült Defender több munkaterületet hoz létre, hogy megfeleljen az adatvédelmi követelményeknek.

     A munkaterület és az erőforráscsoport elnevezési konvenciója a következő:

     • Munkaterület: AlapértelmezettMunkaterület-[előfizetés-azonosító]-[geo]
     • Erőforráscsoport: DefaultResourceGroup-[geo]

     A Felhőhöz készült Defender megoldás automatikusan engedélyezve van a munkaterületen az előfizetéshez beállított tarifacsomag szerint.

     Tipp.

     Az alapértelmezett munkaterületekkel kapcsolatos kérdésekért lásd:

     • Kiszámláznak az Azure Monitor-naplókért a Felhőhöz készült Defender által létrehozott munkaterületeken?
     • Hol van létrehozva az alapértelmezett Log Analytics-munkaterület?
     • Törölhetem a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket?

   • Csatlakozás Azure-beli virtuális gépeket egy másik munkaterületre – A legördülő listából válassza ki a munkaterületet az összegyűjtött adatok tárolásához. A legördülő lista az összes előfizetés összes munkaterületét tartalmazza. Ezzel a beállítással adatokat gyűjthet a különböző előfizetésekben futó virtuális gépekről, és azokat a kiválasztott munkaterületen tárolhatja.

     Ha már rendelkezik Már meglévő Log Analytics-munkaterületével, érdemes lehet ugyanazt a munkaterületet használnia (olvasási és írási engedélyeket igényel a munkaterületen). Ez a lehetőség akkor hasznos, ha egy központi munkaterületet használ a szervezetében, és biztonsági adatgyűjtéshez szeretné használni. További információ: Naplóadatokhoz és munkaterületekhez való hozzáférés kezelése az Azure Monitorban.

     Ha a kiválasztott munkaterületen már engedélyezve van a "Security" vagy a "SecurityCenterFree" megoldás, a díjszabás automatikusan be lesz állítva. Ha nem, telepítsen egy Felhőhöz készült Defender megoldást a munkaterületre:

     1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.
     2. Válassza ki azt a munkaterületet, amelyhez az ügynököket csatlakoztatni fogja.
     3. Állítsa be a biztonsági helyzetkezelést, vagy válassza az Összes engedélyezése lehetőséget az összes Microsoft Defender-csomag bekapcsolásához.

5. A Windows biztonsági események konfigurációjában válassza ki a tárolandó nyers eseményadatok mennyiségét:

   • Nincs – A biztonsági eseménytároló letiltása. (Alapértelmezett)
   • Minimális – Egy kis eseménykészlet, amikor minimalizálni szeretné az eseménykötetet.
   • Gyakori – Olyan események készlete, amelyek kielégítik a legtöbb ügyfelet, és teljes auditnaplót biztosítanak.
   • Minden esemény – Azoknak az ügyfeleknek, akik meg szeretnék győződni arról, hogy minden eseményt tárolnak.

   Tipp.

   Ha ezeket a beállításokat a munkaterület szintjén szeretné beállítani, tekintse meg a biztonsági esemény beállításának beállítását a munkaterület szintjén.

   Ezekről a lehetőségekről további információt a Log Analytics-ügynök Windows biztonsági eseménybeállításai című témakörben talál.

6. Válassza az Alkalmaz lehetőséget a konfigurációs panelen.

A Windows biztonsági eseményeinek beállításai a Log Analytics-ügynökhöz

Amikor kiválaszt egy adatgyűjtési szintet a Felhőhöz készült Microsoft Defender, a rendszer a kiválasztott réteg biztonsági eseményeit a Log Analytics-munkaterületen tárolja, így megvizsgálhatja, keresheti és naplózhatja a munkaterületen lévő eseményeket. A Log Analytics-ügynök emellett összegyűjti és elemzi a Felhőhöz készült Defender fenyegetésvédelméhez szükséges biztonsági eseményeket.

Requirements

A Windows biztonsági eseményadatok tárolásához a Felhőhöz készült Defender fokozott biztonsági védelme szükséges. További információ a továbbfejlesztett védelmi tervekről.

Előfordulhat, hogy az adatok Log Analyticsben való tárolásáért díjat számítunk fel. További tájékoztatás a díjszabási oldalon olvasható.

Információk a Microsoft Sentinel felhasználói számára

Az egyetlen munkaterület környezetében lévő biztonsági események gyűjtése konfigurálható Felhőhöz készült Microsoft Defender vagy a Microsoft Sentinelből, de mindkettőből nem. Ha olyan munkaterülethez szeretné hozzáadni a Microsoft Sentinelt, amely már megkapja a riasztásokat Felhőhöz készült Microsoft Defender, és biztonsági eseményeket szeretne gyűjteni, a következőket teheti:

• Hagyja meg a biztonsági események gyűjteményét Felhőhöz készült Microsoft Defender. Ezeket az eseményeket a Microsoft Sentinelben és a Felhőhöz készült Defender is lekérdezheti és elemezheti. Ha figyelni szeretné az összekötő kapcsolati állapotát, vagy módosítani szeretné annak konfigurációját a Microsoft Sentinelben, fontolja meg a második lehetőséget.
• Tiltsa le a biztonsági események gyűjteményét Felhőhöz készült Microsoft Defender, majd adja hozzá a Biztonsági események összekötőt a Microsoft Sentinelben. A Microsoft Sentinelben és a Felhőhöz készült Defender is lekérdezheti és elemezheti az eseményeket, de monitorozhatja az összekötő kapcsolati állapotát, vagy módosíthatja annak konfigurációját a Microsoft Sentinelben és csak a Microsoft Sentinelben. Ha le szeretné tiltani a biztonsági események gyűjteményét Felhőhöz készült Defender, állítsa a Windows biztonsági eseményeket None értékre a Log Analytics-ügynök konfigurációjában.

Milyen eseménytípusokat tárol a rendszer a "Common" és a "Minimal" kifejezéshez?

A közös és minimális eseménykészleteket úgy tervezték, hogy az egyes események szűretlen gyakoriságára és használatára vonatkozó ügyfél- és iparági szabványokon alapuló tipikus forgatókönyveket kezeljenek.

• Minimális – Ez a készlet csak azokat az eseményeket hivatott lefedni, amelyek sikeres behatolást jelezhetnek, és az alacsony kötettel rendelkező fontos eseményeket. A készlet adatmennyiségének nagy része a sikeres felhasználói bejelentkezés (4624-ös eseményazonosító), a sikertelen felhasználói bejelentkezési események (4625-ös eseményazonosító) és a folyamatlétrehozás eseményei (4688-os eseményazonosító). A kijelentkezési események csak a naplózás szempontjából fontosak, és viszonylag nagy mennyiségűek, ezért nem szerepelnek ebben az eseménykészletben.
• Gyakori – Ez a készlet teljes felhasználói naplózási útvonalat biztosít, beleértve az alacsony kötetű eseményeket is. Ez a készlet például a felhasználói bejelentkezési eseményeket (4624-s eseményazonosító) és a felhasználói emblémázási eseményeket (4634-s eseményazonosító) tartalmazza. A naplózási műveleteket, például a biztonsági csoport módosításait, a fő tartományvezérlő Kerberos-műveleteit és az iparági szervezetek által javasolt egyéb eseményeket is belefoglaljuk.

Íme az egyes csoportok biztonsági és alkalmazástároló eseményazonosítóinak teljes lebontása:

Adatréteg	Összegyűjtött eseményjelzők
Minimális	1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
	4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Gyakori	1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
	4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
	4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
	4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
	4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
	4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
	6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Megjegyzés:

• Csoportházirend-objektum (GPO) használata esetén javasoljuk, hogy engedélyezze a 4688-at és a CommandLine mezőt a 4688-at tartalmazó eseményen belül. A Folyamatlétrehozás esemény 4688-ról további információt Felhőhöz készült Defender gyakori kérdéseiben talál. További információ ezekről az auditszabályzatokról: Naplózási szabályzat Javaslatok.
• Az adaptív alkalmazásvezérlők adatgyűjtésének engedélyezéséhez Felhőhöz készült Defender egy helyi AppLocker-szabályzatot konfigurál naplózási módban, hogy minden alkalmazás engedélyezve legyen. Ez azt eredményezi, hogy az AppLocker olyan eseményeket hoz létre, amelyeket aztán a Felhőhöz készült Defender gyűjt és használ fel. Fontos megjegyezni, hogy ez a szabályzat nem lesz konfigurálva olyan gépeken, amelyeken már van konfigurált AppLocker-szabályzat.
• A Windows szűrőplatform 5156-os eseményazonosítójának gyűjtéséhez engedélyeznie kell a naplózási szűrési platform Csatlakozás ionját (Auditpol /set /subcategory:"Filtering Platform Csatlakozás ion" /Success:Enable)

A biztonsági esemény beállításának beállítása a munkaterület szintjén

A munkaterület szintjén tárolandó biztonsági eseményadatok szintjét meghatározhatja.

1. Az Azure Portal Felhőhöz készült Defender menüjében válassza a Környezeti beállítások lehetőséget.

2. Válassza ki a megfelelő munkaterületet. A munkaterületek egyetlen adatgyűjtési eseménye az ezen a lapon ismertetett Windows biztonsági események.

   

3. Válassza ki a tárolandó nyers eseményadatok mennyiségét, és válassza a Mentés lehetőséget.

Manuális ügynökkiépítés

A Log Analytics-ügynök manuális telepítése:

1. Az Azure Portalon lépjen a Felhőhöz készült Defender Környezet Gépház lapjára.

2. Válassza ki a megfelelő előfizetést, majd válassza a Gépház & monitorozás lehetőséget.

3. Kapcsolja ki a Log Analytics-ügynököt/az Azure Monitor-ügynököt.

   

4. Szükség esetén létrehozhat egy munkaterületet.

5. Engedélyezze a Felhőhöz készült Microsoft Defender azon a munkaterületen, amelyre a Log Analytics-ügynököt telepíti:

   1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

   2. Állítsa be azt a munkaterületet, amelyre az ügynököt telepíti. Győződjön meg arról, hogy a munkaterület ugyanabban az előfizetésben található, amelyet a Felhőhöz készült Defender használ, és hogy rendelkezik olvasási/írási engedélyekkel a munkaterülethez.

   3. Válassza ki a "Kiszolgálók" vagy az "SQL-kiszolgálók a gépeken" lehetőséget (az alapszintű CSPM az ingyenes alapértelmezett), majd válassza a Mentés lehetőséget.

      

      Megjegyzés:

      Ha a munkaterületen már engedélyezve van egy Security vagy SecurityCenterFree megoldás, a díjszabás automatikusan be lesz állítva.

6. Ha új virtuális gépeken szeretne ügynököket üzembe helyezni Resource Manager-sablonnal, telepítse a Log Analytics-ügynököt:

   • A WindowsHoz készült Log Analytics-ügynök telepítése
   • A Log Analytics-ügynök telepítése Linuxhoz

7. Az ügynökök meglévő virtuális gépeken való üzembe helyezéséhez kövesse az Azure-beli virtuális gépek adatainak gyűjtése című szakasz utasításait (az esemény- és teljesítményadatok gyűjtése nem kötelező).

8. Ha a PowerShell használatával szeretné üzembe helyezni az ügynököket, használja a virtuális gépek dokumentációjának utasításait:

   • Windows rendszerű gépek esetén
   • Linux rendszerű gépek esetén

Tipp.

Az előkészítésről további információt az Felhőhöz készült Microsoft Defender PowerShell-lel történő előkészítésének automatizálása című témakörben talál.

A monitorozási összetevők kikapcsolása:

• Lépjen a Defender-csomagokra, és kapcsolja ki a bővítményt használó csomagot, és válassza a Mentés lehetőséget.
• A figyelési beállításokkal rendelkező Defender-csomagok esetében lépjen a Defender-csomag beállításaira, kapcsolja ki a bővítményt, és válassza a Mentés lehetőséget.

Megjegyzés:

• A bővítmények letiltása nem távolítja el a bővítményeket a tényleges számítási feladatokból.
• Az OMS-bővítmény eltávolításáról további információt Hogyan Felhőhöz készült Defender által telepített OMS-bővítmények eltávolításával kapcsolatban talál.